CritX Pack exploit kit VT Detection ratio: 17 / 46 2.914505396798683E8.exe

显示全部楼层 · 发表于 2013-1-18 23:06:59

https://www.virustotal.com/file/ ... nalysis/1358521428/

2013-01-18 23:01:18 C:\Users\Firefox3\AppData\Local\Temp\2.914505396798683E8.exe 直接显示器访问

2013-01-18 23:00:34 C:\Users\Firefox3\AppData\Local\Temp\2.914505396798683E8.exe Sandbox中运行 Partially Limited

2013-01-18 23:00:34 C:\Program Files\Java\jre7\bin\java.exe 创建进程 C:\Users\Firefox3\AppData\Local\Temp\2.914505396798683E8.exe

报告结束

显示全部楼层 · 发表于 2013-1-18 23:18:07

本帖最后由Ｍy↘じ★ve 于 2013-1-18 23:19 编辑

360：

2013/1/18 23:17:18 创建新进程允许
进程: c:\users\administrator\desktop\2.914505396798683e8.exe
目标: c:\users\administrator\desktop\2.914505396798683e8.exe
命令行: "C:\Users\Administrator\Desktop\2.914505396798683E8.exe"
规则: [应用程序]* -> [子应用程序].\*.*

2013/1/18 23:17:19 创建新进程阻止
进程: c:\users\administrator\desktop\2.914505396798683e8.exe
目标: c:\windows\explorer.exe
命令行: C:\Windows\explorer.exe
规则: [应用程序]* -> [子应用程序]c:\windows\*

显示全部楼层 · 发表于 2013-1-18 23:19:00

360 QVM10 Q管未知

网站被阻止！

G Data 互联网安全套装 2013已阻止访问此网站。
该站点包含被感染的代码：Trojan.Generic.KD.833302 (引擎A), Win32:Downloader-SFZ [Trj] (引擎B).

显示全部楼层 · 发表于 2013-1-19 00:13:34

显示全部楼层 · 发表于 2013-1-19 02:51:34

本帖最后由 wjcharles 于 2013-1-19 03:34 编辑

NIS2013双击被添加启动项。。。奇葩了，这毒是国内的？双击后有个game456.pif的进程一闪而过，没截图下来

显示全部楼层 · 发表于 2013-1-19 11:14:13

wjcharles 发表于 2013-1-19 02:51
NIS2013双击被添加启动项。。。奇葩了，这毒是国内的？双击后有个game456.pif的进程一闪而过，没截图下来[: ...

之前我就记得这类毒诺顿没守住，好像是消停测试的，摄像头被打开了，记不清了，可能是这类样本少，诺顿建立的规则不全？

显示全部楼层 · 发表于 2013-1-19 21:53:00

firefox3 发表于 2013-1-19 11:14
之前我就记得这类毒诺顿没守住，好像是消停测试的，摄像头被打开了，记不清了，可能是这类样本少，诺顿建 ...

我感觉这个样本是国内的远控，至少也是国外“外包”给国内免杀的，game456的出现就很能说民问题。
国内的远控嘛，我问一些免杀的人要过几个，过sonar很容易，一方面远控动作确实很少，另一方面国内的环境逼得木马作者把各种“猥琐”手段如白加黑这种的用得炉火纯青

关于sonar的规则，现成的规则有一定的行为启发能力（为了控制误报，不可能太厉害，感觉sonar误报比扫描少多了），自动生成的话需要一定量的样本学习，国内这种数量一般无法达到；人工制定的话铁壳对大陆个人用户的态度大家都知道

目前也不是完全没办法，铁壳的云信誉据说是专门针对这类小众样本的，同时减少入库分析的强度。比如下载分析，效果虽然明显，但弊端可能更多。。。

显示全部楼层 · 发表于 2013-1-19 22:04:26

wjcharles 发表于 2013-1-19 21:53
我感觉这个样本是国内的远控，至少也是国外“外包”给国内免杀的，game456的出现就很能说民问题。
国内的 ...

那个，我想问问，能不能把诺顿设置成所有都是询问再执行处理的选项，我下午玩了一会N360，感觉很不错，占用控制的很好，只是无法控制监控，右键点图标禁用都不行，咋回事？是不是要关闭下载分析什么的？

显示全部楼层 · 发表于 2013-1-19 22:16:31

firefox3 发表于 2013-1-19 22:04
那个，我想问问，能不能把诺顿设置成所有都是询问再执行处理的选项，我下午玩了一会N360，感觉很不错，占 ...

右键任务栏图标禁用自动防护的话,防间谍还是在的,其他包括sonar会一起关闭,见下图,你的情况会不会是防间谍杀的?

据我所知sonar可以设定成所有情况下都是询问再处理,自动防护的话好像不行

显示全部楼层 · 发表于 2013-1-19 22:24:09

wjcharles 发表于 2013-1-19 22:16
右键任务栏图标禁用自动防护的话,防间谍还是在的,其他包括sonar会一起关闭,见下图,你的情况会不会是防间谍 ...

第二张图我设置成询问的，第一张图哪里搞出来的啊

那个身份安全关不掉，我登陆邮箱，N360没有浏览器主动防护吗？我没看到呢

[可疑文件] CritX Pack exploit kit VT Detection ratio: 17 / 46 2.914505396798683E8.exe

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源